Projekts Zero izmēģina jaunu modeli, lai atklātu ievainojamības, kas dos vairāk laika oriģinālo iekārtu ražotājiem, lai ietekmētu lietotāju ielāpus.
Google Project Zero komanda paziņo par dažām lielām izmaiņām, kā tā atklāj sabiedrībai drošības ievainojamības. Kopš tā uzsākšanas Project Zero ir ievērojis stingru 90 dienu atklāšanas termiņu. Tas nozīmē, ja tiek atrasta ievainojamība, Project Zero to izdarīs pagaidiet 90 dienas pirms publiskas dokumentēšanas tehniskās detaļas. Tas ļauj pārdevējiem izlabot savas programmatūras trūkumu, pirms uzbrucēji var to izmantot.
Projekts Zero tagad ir izmēģinot jaunu modeli 2021. gadam, kas oriģinālo iekārtu ražotājiem piešķirs papildu mēnesi, lai ietekmētajiem lietotājiem ieviestu ielāpus. Iepriekš ievainojamības tehniskā dokumentācija notika, tiklīdz beidzās 90 dienu termiņš — neatkarīgi no tā, vai ielāps tika izdots vai nē. Jaunajā modelī, ja OEM novērsīs problēmu 90 dienu laikā, tehniskā dokumentācija tiks sagatavota 30 dienas pēc labošanas.
Google saka, ka jaunās 90+30 politikas mērķis ir padarīt ielāpu par skaidru informācijas atklāšanas programmas daļu. Pārdevējiem būs 90 dienas, lai izstrādātu ielāpu, un 30 dienas, lai labotu saviem lietotājiem.
"Pāreja uz modeli "90+30" ļauj atdalīt ielāpu veikšanai laiku no ielāpu pieņemšanas laika, tādējādi samazinot strīdīgās debates par uzbrucēju/aizstāvju kompromisi un tehnisko detaļu koplietošana, vienlaikus aicinot samazināt laiku, kurā galalietotāji ir neaizsargāti uz zināmiem uzbrukumiem,"teica Project Zero vadītājs Tims Viliss emuāra ierakstā.
Savvaļas ievainojamībām, kuras tiek aktīvi izmantotas, joprojām tiks noteikts 7 dienu atklāšanas termiņš. Taču tagad, ja problēma tiks novērsta 7 dienu laikā, Google publicēs tehnisko informāciju 30 dienas pēc labošanas. Iepriekš Google informāciju publicēja 7. dienā neatkarīgi no problēmas novēršanas brīža. Turklāt pārdevēji tagad var pieprasīt arī 3 dienu labvēlības periodu šāda veida ievainojamībām, kas iepriekš netika piedāvātas.
Projekta Zero komanda atzīst, ka šī jaunā politika ir neliela atkāpe no viņu iepriekšējās nostājas, kurā par prioritāti tika izvirzīta ātra tehnisko detaļu publiskošana. Tomēr komanda atzīmē, ka šī atvieglotā politika nebūs spēkā pārāk ilgi, jo tuvākajā nākotnē viņi centīsies saīsināt informācijas atklāšanas termiņu. Komanda norādīja, ka 2022. gadā viņi, visticamāk, pāries uz 84+28 modeli.